Phishing - Tudo o que você precisa saber para se proteger

Rivaldo dos Santos

25 de mai. de 2024

O conceito da pescaria!

Quando as pessoas consideram o que é phishing, acham que o termo é curioso, já que vem do inglês, de "pescaria" (fishing). A comparação é feita com um pescador que lança sua linha com uma isca (o e-mail de phishing) e espera que a vítima a morda.

Resumidamente, phishing é quando alguém envia comunicações fraudulentas que aparentam vir de uma fonte confiável. Geralmente, esse golpe é realizado por e-mail, mas também pode acontecer por meio de mensagens de texto, por exemplo.

O objetivo é obter informações confidenciais, como números e senhas de cartão de crédito, dados de login, ou até mesmo instalar softwares maliciosos no dispositivo da vítima. Esse tipo de ataque cibernético é bastante comum e é crucial entender o que é phishing e como se proteger dele.

Na verdade, esse é um dos tipos mais antigos de ataque cibernético, remontando aos anos 1990, e ainda é um dos mais prevalentes e perigosos. Os golpistas estão constantemente aprimorando suas mensagens e técnicas de phishing para torná-las cada vez mais sofisticadas.

Um pouco de história sobre o golpe

Embora as raízes do phishing possam ser traçadas até golpes por correspondência postal, a era digital marcou a ascensão meteórica dessa prática. No início da década de 1990, com a popularização dos serviços online, os golpistas logo perceberam o potencial da internet para alcançar um número sem precedentes de vítimas.

A década de 1990: A semente da fraude online

1995: O primeiro caso registrado de phishing, direcionado a usuários da America Online (AOL), utilizava e-mails falsos para induzir vítimas a fornecer senhas e números de cartão de crédito.

1996: O termo "phishing" foi cunhado, derivado da palavra "fishing" (pesca), em referência à técnica de "pescar" informações confidenciais em um mar de usuários desprevenidos.

1997: O FBI emitiu seu primeiro alerta oficial sobre o phishing, reconhecendo a crescente ameaça à segurança online.

A virada do milênio: Crescimento e sofisticação

Década 2000: O phishing se tornou cada vez mais sofisticado, com golpes direcionados a bancos, lojas online e até mesmo serviços governamentais.

2001: O ataque de phishing mais famoso da época atingiu a AOL, comprometendo os dados de 6 milhões de usuários.

2004: O phishing se globalizou, com ataques direcionados a usuários em diversos países do mundo.

A era moderna: Novos desafios e novas tecnologias

Década 2010: O phishing se adaptou às novas tecnologias, utilizando técnicas como spear phishing (ataques direcionados a indivíduos específicos) e smishing (ataques por SMS).

2011: O ataque de phishing ao Epsilon Data Management comprometeu os dados de 4 milhões de usuários de grandes empresas como Chase Bank e Barclays.

2016: A campanha de phishing "Dridex" causou prejuízos de mais de 200 milhões de dólares a empresas em todo o mundo.

O panorama atual: Uma ameaça constante e em evolução

Década 2020: O phishing continua sendo uma das principais ameaças à segurança cibernética, com ataques cada vez mais elaborados e direcionados.

2020: A pandemia da COVID-19 impulsionou o uso de ferramentas online, criando novas oportunidades para ataques de phishing.

2023: O phishing continua a se adaptar às novas tecnologias, como inteligência artificial e deepfakes, exigindo medidas de segurança cada vez mais robustas.

Entendendo o golpe

Dentro da variedade de tipos de phishing, torna-se evidente que os cibercriminosos empregam uma série de estratégias para executar seus ataques. Essa diversificação tem como objetivo principal iludir as vítimas e adquirir informações confidenciais.

Para alcançar esse objetivo, os criminosos exploram a engenharia social, manipulando as emoções e o comportamento das vítimas. Eles criam mensagens que são convincentes e persuasivas, muitas vezes jogando com o medo, a urgência ou a curiosidade, a fim de que as vítimas ajam impulsivamente, sem questionar a autenticidade da comunicação.

Os golpistas são habilidosos em imitar fontes confiáveis, replicando logotipos, estilos de comunicação e até mesmo endereços de e-mail para tornar suas mensagens e sites falsos mais convincentes, tornando assim a identificação do phishing mais difícil.

O uso de URLs encurtadas ou redirecionamentos é uma tática frequente para mascarar links maliciosos. Os criminosos inserem esses links em e-mails ou mensagens, levando as vítimas a páginas fraudulentas sem levantar suspeitas.

Além disso, os cibercriminosos frequentemente se aproveitam de situações em destaque na mídia. Eles enviam e-mails ou mensagens fingindo ser organizações de ajuda, agências governamentais ou empresas associadas a eventos como desastres naturais, buscando explorar o interesse público e a generosidade das pessoas.

Outra tática é induzir pânico nas vítimas, enviando falsos alertas de segurança. Eles alertam sobre atividades suspeitas em contas, transações não autorizadas ou acessos não reconhecidos, levando as vítimas a clicarem em links maliciosos para resolver supostos problemas de segurança.

Em certos casos, os cyber criminosos incorporam malwares como anexos em e-mails ou links, aproveitando-se de vulnerabilidades nos sistemas das vítimas. Ao baixar ou abrir esses anexos, ou clicar nos links, as vítimas podem inadvertidamente instalar software malicioso em seus dispositivos, comprometendo a segurança de suas informações. Segue alguns métodos utilizados:

Enganação: O ataque geralmente começa com uma mensagem falsa, seja por e-mail, SMS, site ou até mesmo ligação telefônica. Essa mensagem imita a comunicação de uma empresa ou organização real, como um banco, loja online ou serviço de streaming.

Urgência e medo: O conteúdo da mensagem costuma criar um senso de urgência ou medo na vítima, pressionando-a a agir rapidamente sem pensar. Frases como "sua conta está em risco" ou "clique aqui para atualizar seus dados" são comuns.

Links maliciosos: A mensagem contém um link ou botão que, quando clicado, direciona a vítima para um site falso que se parece com o site real da empresa ou organização imitada.

Coleta de dados: No site falso, a vítima é induzida a inserir seus dados confidenciais, como senhas, dados bancários ou número do cartão de crédito.

Fraude: Após obter os dados da vítima, os golpistas podem usá-los para realizar compras, acessar contas bancárias, roubar a identidade da vítima ou até mesmo instalar malwares em seus dispositivos.

Tipos mais comuns de phishing

Se há algo que todos os ataques de phishing têm em comum, é o seu talento para se camuflar. Os golpistas falsificam endereços de e-mail para que pareçam vir de fontes confiáveis, criam websites falsos que se assemelham muito aos legítimos e utilizam caracteres estrangeiros para disfarçar URLs.

Dito isso, existem diversas técnicas que se encaixam no conceito do que é phishing.

Uma forma de categorizar esses ataques é pelo objetivo da tentativa de phishing. Em geral, esses golpes visam induzir a vítima a realizar uma das seguintes ações:

Phishing por E-mail: Este é o tipo mais comum de phishing, onde os golpistas enviam e-mails fraudulentos que parecem legítimos para enganar as vítimas. Esses e-mails geralmente solicitam informações confidenciais, como nomes de usuário, senhas ou detalhes financeiros, ou induzem a vítima a clicar em links maliciosos que levam a sites falsos.

Spear Phishing: Ao contrário do phishing genérico, o spear phishing é direcionado a indivíduos ou empresas específicas. Os golpistas realizam uma pesquisa detalhada sobre suas vítimas e criam mensagens personalizadas para aumentar a probabilidade de sucesso. Isso pode envolver o uso de informações pessoais ou profissionais obtidas anteriormente para aumentar a credibilidade do ataque.

Whaling: Este tipo de phishing visa os "grandes peixes" corporativos, como CEOs, diretores ou outros altos cargos em empresas. O objetivo é obter acesso a informações confidenciais altamente valiosas, como dados financeiros, estratégias de negócios ou informações de clientes. Os golpistas podem usar técnicas sofisticadas de engenharia social para persuadir esses alvos de alto escalão a divulgar informações sensíveis.

Smishing: Uma variação do phishing por e-mail, o smishing envolve o uso de mensagens de texto (SMS) para realizar ataques. Os golpistas enviam mensagens de texto fraudulentas que parecem vir de fontes confiáveis, como bancos ou empresas de entrega, e solicitam que a vítima clique em links maliciosos ou forneça informações pessoais.

Vishing: Este tipo de ataque ocorre por telefone, onde os golpistas se passam por funcionários de empresas legítimas, como bancos, empresas de cartão de crédito ou agências governamentais. Eles utilizam técnicas de manipulação e engenharia social para convencer a vítima a divulgar informações confidenciais, como números de conta, senhas ou códigos de verificação.

Para proteger-se contra ataques de phishing, é essencial estar alerta e adotar algumas práticas de segurança

Desconfie de Mensagens Urgentes ou Alarmantes:

As mensagens de phishing muitas vezes tentam induzir o destinatário a agir rapidamente, usando táticas como a criação de um senso de urgência ou medo. Por exemplo, você pode receber um e-mail informando que sua conta bancária foi comprometida e que precisa tomar uma medida imediata para protegê-la. No entanto, é importante lembrar que empresas legítimas raramente exigem ações urgentes ou alarmantes via e-mail.

Verifique o Remetente

Antes de clicar em qualquer link ou responder a um e-mail, verifique cuidadosamente o endereço de e-mail do remetente. Os golpistas muitas vezes usam endereços de e-mail falsos que podem parecer legítimos à primeira vista, mas, na realidade, contêm erros de ortografia ou domínios suspeitos.

Passe o Mouse sobre os Links

Uma técnica útil é passar o mouse sobre os links incluídos no e-mail sem clicar neles. Isso permite visualizar o URL real para onde o link está direcionando. Se o URL parecer estranho, não corresponder ao site esperado ou apresentar caracteres incomuns, é melhor evitar clicar.

Acesse Sites Diretamente

Em vez de clicar em links em e-mails, é mais seguro digitar manualmente o endereço do site diretamente na barra de endereço do seu navegador. Isso garante que você esteja acessando o site legítimo da empresa em vez de ser redirecionado para uma página falsa.

Mantenha seus Softwares Atualizados

Manter seu sistema operacional, antivírus e navegador sempre atualizados é fundamental para garantir que você tenha as últimas proteções de segurança. As atualizações frequentemente incluem correções para vulnerabilidades conhecidas que os hackers podem explorar.

Cuidado com Sites Falsos

Os sites falsos podem parecer muito semelhantes aos sites legítimos, mas geralmente têm pequenas diferenças no URL ou no design. Preste atenção a erros de ortografia, diferenças no logo da empresa ou em outros elementos visuais que podem indicar que o site não é genuíno.

Nunca Compartilhe Informações Confidenciais

Empresas respeitáveis nunca solicitam senhas, informações bancárias ou números de cartão de crédito por e-mail ou mensagem de texto. Se você receber uma solicitação desse tipo, é uma bandeira vermelha definitiva de um possível ataque de phishing.

Desconfie de Ofertas "Imperdíveis"

Se uma oferta parece boa demais para ser verdade, provavelmente é. Ofertas incríveis podem ser um chamariz para atrair vítimas desprevenidas. Esteja ciente de promessas de ganhos rápidos, prêmios surpreendentes ou descontos extraordinários.

Contate a Empresa Diretamente em Caso de Dúvida

Se você tiver dúvidas sobre a legitimidade de um e-mail ou mensagem que recebeu, entre em contato diretamente com a empresa através de seus canais oficiais de comunicação. Isso pode envolver ligar para o número de telefone da empresa listado em seu site oficial ou enviar um e-mail para um endereço de suporte conhecido.

Curiosidade

No Código Penal Brasileiro (CP), não existe um artigo específico que tipifique o crime de phishing de forma direta.

No entanto, diversos artigos do CP podem ser utilizados para enquadrar e punir as ações criminosas relacionadas ao phishing, de acordo com as características e objetivos específicos do ataque.

Os principais artigos utilizados são:

Art. 171 - Estelionato: Punir quem, com intenção de obter para si ou para outrem, vantagem ilícita, induzir ou manter alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento.

Art. 155 - Furto: Tocar ou subtrair coisa móvel, alheia, sem consentimento do detentor, com o fim de apropriá-la.

Art. 298 - Falsificação de documento público: Falsificar, no todo ou em parte, documento público ou qualquer qualquer tipo de selo ou sinal público que o autentique.

Art. 304 - Uso de documento falso: Usar documento público ou particular falsificado, ou que saiba ser falso, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante.

A aplicação do CP ao phishing dependerá de diversos fatores, como:

Objetivo do ataque: Obter dados pessoais, senhas, dados bancários ou praticar outros crimes.

Meios utilizados: E-mails fraudulentos, sites falsos, engenharia social, etc.

Dano causado à vítima: Financeiro, emocional, roubo de identidade, etc.

Exemplos de como o CP pode ser aplicado ao phishing:

Utilizar dados de cartão de crédito roubados para realizar compras: Art. 155 - Furto.

Criar um site falso de um banco para obter senhas e dados bancários: Art. 298 - Falsificação de documento público.

Enviar e-mails fraudulentos para se passar por uma empresa e obter dados pessoais: Art. 171 - Estelionato.

É importante destacar que a legislação brasileira ainda está em desenvolvimento no que se refere aos crimes cibernéticos.

Lei 12.659/2011 (Lei de Crimes Cibernéticos): Essa lei inclui crimes como invasão de dispositivo informático, interceptação de dados e uso indevido de dispositivo de informação.

Projeto de Lei 821/2015: Esse projeto visa criar um tipo penal específico para o phishing no CP, mas ainda está em tramitação no Congresso Nacional.

Conclusão

Em suma, o phishing é uma ameaça persistente e evolutiva no cenário digital atual. Este método sofisticado de engenharia social, utilizado por cibercriminosos para enganar e manipular usuários, continua a representar uma séria preocupação para indivíduos, empresas e organizações em todo o mundo.

Ao longo deste texto, exploramos os diferentes tipos de phishing, desde os ataques genéricos por e-mail até formas mais direcionadas, como spear phishing, whaling, smishing e vishing. Cada uma dessas variantes apresenta seus próprios desafios e riscos, mas todas compartilham o objetivo comum de enganar as vítimas e obter informações confidenciais.

Além disso, discutimos em detalhes as medidas que podem ser adotadas para se proteger contra o phishing. Desde a adoção de uma abordagem cautelosa em relação a mensagens suspeitas até a verificação cuidadosa de remetentes, links e sites, e a manutenção de softwares atualizados, essas práticas podem ajudar a mitigar o risco de se tornar uma vítima de phishing.

No entanto, é importante ressaltar que a educação contínua e a conscientização sobre os riscos do phishing são fundamentais. Os usuários devem estar sempre atentos aos sinais de alerta e atualizados sobre as táticas e estratégias mais recentes dos cibercriminosos.

Em última análise, combater o phishing exige uma abordagem multifacetada que envolve tecnologia, educação e conscientização. Somente através de uma colaboração eficaz entre usuários, empresas, governos e organizações de segurança cibernética podemos esperar minimizar o impacto desse tipo de ameaça e proteger com sucesso nossas informações pessoais e empresariais contra ataques maliciosos.